ERP 系統環境下企業內部控制的探討

■吳佳輝 中國石油天然氣股份有限公司廣西銷售分公司

隨著國民經濟形勢的變化，國內企業面臨愈發激烈的市場競爭，企業內部控制是提升企業競爭實力的重要手段，也是推進企業現代化發展的重要途徑，內部控制活動可以有效提升企業生產經營效益，提升企業控制、決策和管理的科學性。ERP（Enterprise Resource Planning，企業資源計劃）系統的普及應用為企業開展高效的內部控制提供了關鍵支撐，但在ERP 系統引進及運行的過程中，部分企業也面臨諸多挑戰。對此，如何推進ERP 系統建設和運行，進而為企業內部控制提供良好的環境與保障，以此提升企業內部控制水平，成為推動企業現代化轉型、推進企業良性發展的必經之路。

一、ERP 系統與內部控制的內在邏輯

ERP 系統是企業落實內部控制措施、開展內部控制活動的重要工具，在ERP 系統的幫助下，企業領導者、管理層可以全面、及時地獲取各類信息，結合信息分析結果做出科學決策，開展內部控制活動。同時，內部控制為企業ERP 系統建設提供方向，企業引進、應用ERP 系統需要以內部控制需求為導向，ERP 系統需要能夠滿足企業內部控制的具體需求，如對流程控制、信息處理的需求等，因此，在企業ERP 系統建設期間，內部控制需求為系統建設提供正確方向，確保ERP 系統可以真正為企業的持續發展服務。不難發現，ERP 系統與企業內部控制處于密切關聯、相互促進的狀態，在ERP 系統環境下推進企業內部控制工作開展可以有效提升內部控制效果，為企業發展提供關鍵支撐。

二、ERP 系統對企業內部控制的重要影響

ERP 系統對內部控制的影響主要體現在控制環境、控制活動、風險評估、信息溝通四個方面，本文對其進行逐一分析。

1.優化控制環境

控制環境主要指對于內部控制效果產生影響的各類因素，良好的控制環境是內部控制得以順利開展的重要前提，也關系企業能否實現內部控制目標。在ERP 系統環境下，企業內部控制環境中的部分影響因素發生變動，對于內部控制效果具有直接影響。一是企業組織結構變動，ERP 系統使企業組織結構趨于扁平化，有效減少內部控制層次和信息傳輸層次，使信息可以在更短的時間內實現上下級之間的傳遞，提升信息傳遞效率和真實性。二是權責分配進一步細化，ERP 系統使企業內部的權責機制更加明確，每個崗位、每個模塊的操作都有特定的權限，特定的操作只能由特定的員工或特定的崗位完成，這就將權責進一步落實到具體崗位，有效避免責任推諉。三是提升了領導層、管理層對內部控制的參與程度，有效發揮內部監督的作用，在ERP 系統的幫助下，領導層和管理層可以全面、迅速地獲取企業內部信息，并根據相應情況開展管理、監督。四是實現內部控制的全程開展，促進企業內部控制由單純的事后控制轉為事前預測、事中監督和事后控制全程開展。

2.提升控制活動質量

控制活動是企業各級管理人員為了執行管理指令、實現企業發展目標而采取的措施和行為，控制活動具有全面性特點，涉及企業各部門、各崗位，而且企業生產經營、管理決策的各個環節均涉及控制活動，如授權、審批、檢查、監督等。ERP 系統為企業提供了更加靈活多樣的控制手段，確?？刂苹顒幽軌蛴行蜷_展，提升控制活動的效果。例如，通過系統權限控制、系統程序控制等手段提升控制質量，或者通過信息系統控制提升業務處理效率，降低業務處理成本，減少業務處理出錯的可能。相較于傳統的人工控制，在ERP 系統輔助下的內部控制提升了控制效率和控制的智能化水平，而且使內部控制體系具備預防、修正等功能。例如，推動ERP系統在財務控制中的應用可以實現財務數據的追溯，而且各環節的財務操作都會產生數據痕跡，可以清晰展示財務工作流程，一旦出現問題，可以及時溯源，有效避免財務舞弊。

需要注意的是，ERP 系統的應用也對企業內部控制活動形成了新的挑戰。例如，企業各項數據可能遭到竊取，導致企業信息泄露，使企業面臨信息安全風險，甚至部分不法分子通過網絡途徑入侵企業ERP 系統，修改、銷毀企業數據，給企業帶來一定損失。

3.強化風險評估

風險評估對于企業發展具有重要意義，風險評估分為事前評估和事后評估，事前評估主要是評估風險等級以及可能造成的危害，而事后評估則是對已發生的風險事件進行評估，評估重點在于風險事件給企業造成的損失。風險評估具體分為識別、分析、預防和管理四個環節。

在ERP 系統環境下，企業的風險評估手段、風險評估理念均發生相應變化，從風險評估理念的角度來看，風險評估更加注重流程上的全程性，以及評估對象的全面性，可以對企業各部門、各崗位、各流程以及各環節可能發生的風險進行預防評估，有效降低風險因素給企業帶來的損失。同時，ERP 系統可以使風險評估的權責具體落實到人，由于系統本身具備嚴格的授權操作機制，故而風險評估的責任更加明確、更加細化。但是ERP 系統也給企業帶來了新的風險點，如系統應用風險、數據安全風險等，這些都是需要企業加以重視的。

4.提升信息溝通水平

企業內部控制依托信息溝通、信息共享而實現，如果企業內部信息溝通不到位，就容易導致企業領導者、管理層無法獲取真實、全面的信息，更無法根據信息開展管理控制活動，自然影響企業內部控制效果。與之相應的是，ERP 系統可以提升企業信息溝通的全面性，一方面是由于ERP 系統推動企業組織架構扁平化，減少信息傳遞環節，從而確保信息的時效性；另一方面則是ERP 系統環境可以提升各部門系統的兼容性，實現企業數據信息在各部門之間流通共享，從而提升信息溝通效率。ERP系統可以使企業內部控制由順序控制轉向并行控制，實現不同控制活動協同開展，有效提升控制效率，而且ERP系統的開放性特點也為企業內部各部門之間的溝通提供多樣化渠道，企業員工能夠及時了解自身職責，并借助ERP系統切實履責，管理層能夠通過ERP 系統開展各類管理控制工作，領導層則可以根據ERP 系統提供的數據做出科學決策。因此，ERP 系統有效提升企業內部信息溝通水平，確保各級員工能夠做到各司其職，共同促進企業的經營發展。

三、ERP 系統環境下企業內部控制問題

通過前文分析不難發現，ERP 系統對于提升企業內部控制水平具有重要作用，雖然給企業內部控制帶來一些新的風險點，但總體而言，ERP 系統可以為企業開展內部控制提供重要支撐，但現階段部分企業在ERP 系統建設期間存在一些問題，導致ERP 系統環境未能滿足企業內部控制需求，對此，本文在接下來的論述中針對ERP系統環境下企業內部控制存在的問題展開探討。

1.內控意識和ERP 系統認識不足

ERP 系統可以為企業內部控制提供重要助力，但ERP 系統的本質是內部控制的工具，而工具能否發揮其應有作用，關鍵在于企業內部員工，尤其是企業領導者是否具備內部控制意識，以及是否為提升內部控制水平而制訂了相應的計劃。現階段，部分企業內部的領導層、管理層對于內部控制認識不足，未能對內部控制活動及內控體系建設予以足夠重視，企業也并未對內控體系建設、ERP系統建設投入相應資源，導致ERP 系統無法發揮其應有作用。同時，部分基層員工對于ERP 系統建設缺乏足夠的積極性，未能主動支持配合ERP 建設，其原因在于企業內部有關于ERP 系統的宣傳不足，基層員工缺乏全局意識，未能意識到ERP 系統、內部控制與自身工作的重要關系。

2.ERP 系統與企業內控需求不符

前文提及，ERP 系統建設應當以企業內部控制需求為導向，但在部分企業中，企業的ERP 系統與企業業務發展不匹配，未能滿足企業內部控制需求。在ERP 系統實際運行期間，這類企業的ERP 系統無法適應業務活動，甚至導致企業面臨一定的風險。同時，ERP 系統的運行應當與企業內部控制的流程、節點相一致，才能實現兩者的融合，但上述企業的ERP 系統未能契合內部控制的流程、節點，導致系統與內部控制存在較為明顯的脫節，不僅影響內部控制效果，而且會浪費企業資源，降低內部控制水平。此外，部分企業的信息技術實力不足，未能對ERP系統進行定期的檢修維護，導致ERP 系統功能不全，這也是影響企業內部控制以及ERP 系統應用的重要因素。

3.內部控制制度未能及時更新

ERP 系統的應用必然導致企業崗位及相應職責發生變動，相關的內部控制制度也應當及時更新、完善，但現階段部分企業的內控制度并未及時更新，導致老制度與新系統不相匹配，不但阻礙ERP 系統發揮其應有價值，而且導致內部控制活動無法順利開展，因此，如何推進制度內容與權責機制的完善也成為ERP 環境下內部控制必須關注的重點。

4.相關人員的綜合水平不足

在ERP 系統環境下，企業員工應用ERP 系統開展各種操作，這就使企業員工的綜合水平直接影響ERP 系統能否發揮作用，以及能否提升內部控制效果。例如，在開展財務內部控制工作時，財務人員需要利用ERP 系統進行操作，如果財務人員對ERP 系統不熟悉，或者缺乏相應的信息素養，將可能導致財務人員出現操作失誤的情況，影響財務內部控制效果。諸如上述情況，在生產、人力、后勤等部門均有可能發生，因此，企業員工的綜合水平不足成為影響ERP 系統應用與內部控制的障礙性因素。

5.網絡安全風險問題

結合前文內容，ERP 系統在給企業內部控制提供便利的同時，也導致企業內部控制容易出現網絡安全隱患，出現信息泄露、信息丟失的情況。網絡安全風險主要體現在以下三方面：一是部分員工操作不當，導致數據丟失、數據損毀，甚至核心數據出現問題，給企業的生產經營和決策管理造成障礙。二是企業容易遭受網絡攻擊，出現數據被竊取或者遭到修改的情況，也容易給企業發展造成隱患。三是ERP 系統本身出現漏洞，將有可能導致整個ERP 系統在短時間內陷入癱瘓，必然影響內部控制的開展。

四、ERP 系統環境下企業內部控制提升策略

1.轉變內部控制理念，推動ERP 系統有序建設

為了推進ERP 系統建設，提升內部控制效果，企業需要從上至下重視ERP 系統的應用，全面認識ERP 系統，對其應用價值形成全面認知，而且樹立內部控制意識。具體而言，領導層應當予以高度重視，而后帶動企業內部管理層開展內部控制活動，將內部控制作為企業基礎活動對待，并按照企業的發展目標、戰略目標對內部控制進行規劃，進而使基層員工對內部控制足夠重視。企業應當對ERP 系統建設投入相應資源，為提升內部控制水平提供關鍵支撐。同時，企業需要做好內部宣傳工作，尤其是結合內部控制成功案例、ERP 系統建設案例使基層員工意識到ERP 系統的重要作用，并在未來的工作中積極配合ERP 系統建設，樹立全局意識，將自身工作與內部控制、ERP 建設緊密結合。

2.關注企業內部控制需求，堅持以需求為導向建設ERP 系統

ERP 系統建設的根本目的在于滿足企業內部控制需求，繼而促進企業可持續發展，因此，在ERP 系統建設之前，企業需要明確自身的內部控制需求，明確ERP 系統建設重點，而后有的放矢地開展系統建設，并使系統發揮其應有作用。內部控制需求不僅包括企業戰略對內部控制提出的要求，還包括企業員工對于內部控制、ERP系統的期望，因此，企業方面需要做好內部調研，摸清需求、認清條件，才能確保ERP 系統滿足內部控制需求。同時，企業需要關注自身業務發展情況，根據核心業務、主營業務的需要推進ERP 系統建設，不斷提升內部控制水平。

3.關注企業內部變動，完善內部控制制度

企業需要在ERP 系統環境下推動內部控制制度的持續完善，具體而言，企業可以從權責和內容兩方面開展。從權責角度來看，企業需要根據內部控制崗位及權責的變動情況明確具體責任，實現內部控制責任切實落實到具體員工，有效避免出現責任推諉、權責不清的情況。同時，權責機制的完善可以有效激發企業員工參與內部控制的積極性，使各級人員切實履職，切實投入內部控制建設。從內容角度來看，企業需要在ERP 系統環境下明確內部控制的具體對象、流程和標準，確保內部控制人員在工作期間能夠做到有據可依，為內部控制有序開展提供保障。

4.推進人員培訓，提升企業員工信息素養

針對相關人員綜合水平不足的問題，企業應當推進員工隊伍建設，凡是與內部控制相關的崗位，都應參與統一培訓，了解內部控制的具體內容、具體標準，以及ERP系統的應用方式和操作技巧。同時，需要注重提升企業員工的信息化素養，確保企業員工可以應用信息技術知識操作ERP 系統，確保ERP 系統有序運行，為內部控制開展提供保障。此外，提升員工信息素養可以幫助員工及時發現ERP 系統運行期間存在的異常情況，并及時上報，排除異常問題，確保ERP 系統穩定運行。

5.重視網絡安全問題，推進企業網絡安全建設

根據前文分析，網絡安全問題是ERP 系統環境下企業內部控制不可忽視的重要問題，對此，企業應當從以下三方面采取措施：一是結合上文的員工培訓，確保內部控制相關人員能夠有效應用ERP 系統開展工作，避免出現工作失誤而給內部控制造成障礙。二是強化網絡安全建設，尤其是在ERP 系統登錄階段，可以通過動態驗證、數據密鑰等形式形成安全屏障，避免閑雜人員隨意登錄ERP 系統。三是做好ERP 系統的定期檢修與維護，做好升級更新，確保系統本身性能先進、功能齊全，才能為后續的內部控制提供保障。

五、結語

在現階段的國民經濟形勢下，推進ERP 系統建設并強化內部控制是企業發展的必然選擇，ERP 系統對于企業的控制環境優化、風險評估、控制活動、信息溝通與監督控制具有重要作用，針對ERP 系統環境下企業內部控制層面存在的問題，企業應當做好內部教育，使企業內部全體人員樹立內部控制意識，結合自身需求推進ERP 系統建設，做好制度建設和員工隊伍建設，并關注網絡安全問題，有效規避網絡安全風險。